環境設定
centos7システムCLIENT1:192.168.91.17
centos7システムのマスター:192.168.91.18
rsyslogのクライアントの構成
1、rsyslogのインストール
yumをrsyslogのインストール
2、UDP伝送を可能に
vimのは/ etc / rsyslog.conf
## UDPのsyslog受信、送信のためにUDPを有効に提供した場合は、コメントを外し、次の2行
$ MODLOAD imudp
$ UDPServerRun 514
## TCPのsyslogレセプションは、TCP伝送を可能に中止提供している場合は、次の2行コメント
#$ MODLOAD imtcp
#$ InputTCPServerRun 514 * * @。192.168。28.149:514 #送信が使用している場合は、@@ TCP、UDPを使用して有効になっている場合は@
3、rsyslogのサービスを再起動します
systemctl再起動rsyslogの
rsyslogのサーバー設定
1.送信するためにUDP / TCPを有効にします
vimのは/ etc / rsyslog.conf
## UDPのsyslog受信、送信のためにUDPを有効に提供した場合は、コメントを外し、次の2行
$ MODLOAD imudp
$ UDPServerRun 514
## TCPのsyslogレセプションには次の2行をキャンセルし、TCP伝送を可能に提供する場合コメント
#$ MODLOAD imtcp
#$ InputTCPServerRun 514
2、rsyslogのサービスを再起動します
systemctl再起動rsyslogの
システムがサーバーへのクライアントのログを記録するかどうかのテストサービス
1、サーバーのログファイルに中断されない出力システム
tailf / VAR / log / messagesに
第二:試験ロガーを使用することは、クライアントのログ情報(及び出力サーバがネットワークに収集されたログか否かを判定する表示)を生成します
ロガー「rsyslogのテスト」
rsyslogの中央には、ログサーバをセットアップします
デフォルトの設定など、サーバーのログファイルを、対応する受信ログの書き込み:レコードは安全なログに関連する場合、それは自分自身を記述するためのクライアントである、サーバーの/ var /内部の確保/ログに書き込みますその後、サーバーを書くために下ります。
私たちは、サーバーのログの設定に以下の3つの質問によって最適化されます。
最適化1:すべてのサーバーに収束し、どのようにメッセージが送信されるサーバーのエントリを判断するならば、それは明らかである、あなたのホスト名は、ローカルビューがまだ可能であるホストを表示するには、ログを介してクライアントから送信されましたフォームでのIPに少し良くするには、以下のように設定します。
需要在服务器端修改日志模板配置:
#### GLOBAL DIRECTIVES ####
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat
重启rsyslog服务后,通过IP形式展示:
优化问题 2:服务端接收的日志过于分散,是否可疑将日志存放到一个指定的目录里面,进行日志分类存储。
打开/etc/rsyslog.conf文件,启用UDP协议,尽量避免修改主配置文件,我们在/etc/rsyslog.d/
中新建default.conf,追加如下模板:
#### GLOBAL DIRECTIVES ####
# Use default timestamp format # 使用自定义的格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat
# 根据客户端的IP单独存放主机日志在不同目录,rsyslog需要手动创建
$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# 排除本地主机IP日志记录,只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs
# 忽略之前所有的日志,远程主机日志记录完之后不再继续往下记录
& ~
通过使用自定义格式,将不同客户端IP的日志单独存放在不同目录。
优化问题 3:
rsyslog写日志自定义,比如/data/rsyslog 目录权限没有问题,但是日志无法正常输出?
只需要关闭SELinux即可实现日志文件路径写入的问题。
临时关闭SELinux
setenforce 0
永久关闭
vi /etc/selinux/config
改成
SELINUX=disable